Engenharia Social trocada por miúdos

Tony Neate, director executivo da Get Safe Only

“Engenharia social é como levarmos alguém a fazer uma certa coisa porque conhecemos um segredo seu. Uma bruxa má sabe que as crianças adoram guloseimas e, por isso, ela constrói uma casa de biscoitos de gengibre e doces e finge ser uma senhora simpática para levar criancinhas, como o Hansel e a Gretel, a entrar.

“Como a bruxa, também pessoas no mundo real às vezes fingem ser outras pessoas para fazer com que pessoas inocentes confiem nelas. Fazem isto para tentar que as pessoas partilhem informações que podem depois ser usadas para lhes causar mal, como roubar dinheiro ou infetaram o seu computador com um vírus”.

Kevin Epstein, vice-presidente de Segurança e Governança Avançadas na Proofpoint

“Pessoas más tentam enganá-lo. Imagine que alguém quer entrar numa casa, para roubar coisas. Se se vestirem com ladrões, e partirem uma janela, toda a gente sabe que são maus, e por isso chama a polícia rapidamente para apanhá-los. Mas e se eles estão vestidos como uma técnico de reparações, e baterem à porta da frente, e disserem: ‘Estou aqui para arranjar o gás. Posso entrar?’. É provável que os deixe entrar, e ele roubarão coisas”.

Kevin Kennedy, vice-presidente de gestão de produto da Agari

“Engenharia social é a forma como as pessoas más usam as suas esperanças, medos e confiança para roubar segredos ou infiltrar o seu computador. É como quando os irmãos mais velhos o convencem a fazer uma coisa que sabe que é errada, mas não consegue conter-se.

“Pode parecer uma mensagem do melhor amigo a sugerir uma aplicação que diz ser muito divertida. Ou um anúncio no Facebook a oferecer à sua irmã mais velha descontos em bilhetes para os One Direction. Estão a tentar levá-lo a revelar os seus segredos, mas parecem tão reais que a primeira pista de que, na verdade, não o são, é uma mensagem na página do Facebook de um seu amigo a dizer que está a tentar infiltrar-se no computador dele!”.

Fraser Kyne, principal engenheiro de sistemas na Bromium

“Engenharia social é um pouco como aqueles bilhetes que são passados durante as aulas. O bilhete pode dizer ‘Faz isto’ ou ‘Diz aquilo’ ou ‘Vem almoçar comigo aqui’. Pode pensar que o bilhete veio de um amigo seu, mas não viu quem é que o passou a si, por isso não tem bem a certeza. Podia dar à mãe ou ao pai [Segurança de TI], mas, na verdade, eles também não sabem que é inocente o mal-intencionado – e sabe que eles o impediriam de fazer coisas divertidas. Por isso, talvez seja melhor deixar que outra pessoa abra o bilhete e faça o que ele diz, para ver se acaba em sarilhos. Ou pode criar uma cópia virtual sua que possa abrir bilhetes sem arranjar problemas e fazer o que quer que eles digam…mas vamos esperar até que seja mais velho para explicar como isso funciona”.

Dan Lohrmann, diretor de estratégia e de segurança na Security Mentor e antigo diretor de segurança informática do estado do Michigan

“Quando nos ligamos à Internet, muitas imagens e palavras diferentes tentam agarrar a nossa atenção. Quer vejamos imagens de cores garridas, mapas úteis, jogos ou alertas de emails de amigos e família, a maior parte destes objetos são coisas boas que nos ajudam a aprender ou a divertir e a comunicar com os outros.

“Mas há pessoas más online que tentam enganar-nos e levar-nos a clicar em coisas que podem ser muito perigosas para nós. Elas usam um processo chamado ‘Engenharia social’ que nos levam a fazer coisas que são más para nós. É importante saber o que é bom e o que não é. Uma regra que é útil é falar apenas com pessoas que conhecemos e nas quais confiamos. Outra sugestão é pedir aos pais que nos ajudem a escolher os jogos e outras aplicações que sejam seguras. Está atento e cuidado com as pessoas más”.

Geoff Sanders, co-fundador e diretor-geral da LaunchKey

“Engenharia social é só um termo pomposo para dizer quando alguém leva outra pessoa a fazer ou a revelar alguma coisa que não devia através de meios sociais, em vez de técnicos, como, por exemplo, uma conversa casual ou uma chamada telefónica. É como quando um pai pergunta ao filho ‘Gostaste do filme que foste ver ontem à noite com a Maria?’. Infelizmente, o filho devia ter estado a estudar para um teste com o João, mas o pai, muito esperto, levou-o a dizer o que esteve mesmo a fazer”.

Ken Westin, analista de segurança sénior da Tripwire

“Lembras-te quando eu dizia que comer vegetais tornava-te forte? Isso era engenharia social.

Lembras-te quando dizia que se não ficasses na cama e dormisses a sesta, o monstro que vivia debaixo da cama comia os teus dedos dos pés? Isso era engenharia social.

Lembras-te quando te convencia que tinha ‘tirado’ o teu nariz e que dizia que to devolvia depois de acabares de beber o leite? Isso era engenharia social.

Lembras-te daquela vez em que querias doces, e por isso abraçaste a tua mãe, fizeste uma cara fofinha e ela deu-tos? Isso era engenharia social”.

Piers Wilson, chefe de gestão de produto da Huntsman Security

“Engenharia social é quando alguém conta mentiras para te levar a acreditar que eles são outra pessoa qualquer, ou para te convencer a contares os teus segredos. Estas pessoas podem fingir que são teus amigos, ou alguém que o teu pai ou a tua mãe conhecem, serem muito espertos, e acreditares neles. Podem ligar para ti, ou enviar-te um email ou apenas uma mensagem. Podem dizer-te que ganhaste um prémio excelente, como chocolates grátis durante um ano, ou que precisam da tua ajuda ou que encontraram um website mesmo fixe com vídeos do Minecraft. Mas é tudo mentira. Eles não te conhecem, nem à tua família, e o prémio, ou o website ou a ajuda de que precisam não são reais – é tudo só um truque; mas, se fores esperto, consegues perceber isso e ignorar ou apagar a mensagem. Eles são uns grandes mentirosos”.

Alastair Paterson, CEO da Digital Shadows

“A engenharia social é a manipulação de um indivíduo que, entre outras coisas, pode ser utilizada para obter informação confidencial sobre uma empresa ou os seus empregados, para fins maliciosos. Os adversários por detrás destes ataques são, muitas vezes, persistentes na sua busca para roubar, comprometer ou destruir ativos críticos que têm valor financeiro, operacional, intelectual, confidencial ou reputacional. Utilizam uma variedade de métodos para chegarem a esta informação, incluindo abordagens através de redes sociais, emails falsos e contacto cara a cara.

“É difícil para as organizações defenderem-se destes ataques, visto que os humanos são o elo mais fraco de qualquer organização, mas é preciso saber quando a informação foi comprometida. Isto incluiu a monitorização constante da net global, e das deep e dark web, para que possam adquirir-se alertas em tempo real sobre ameaças, como, por exemplo, perda de dados sensíveis ou corrupção da integridade da marca. Isto pode ajudar a mitigar as consequências da engenharia social”.

Amichai Shulam, diretor tecnológica da Imperva

“Engenharia social é uma forma subtil de levar as pessoas, ou persuadi-las, a fazerem coisas que, de noutras circunstâncias, considerariam erradas ou contra os seus interesses. É como quando teus pais tenta levar-te a comer espinafres. Claro que se eles disserem “Como os espinafres”, tu vais fechar a boca teimosamente. Mas o truque da tua mãe é deixar um prato de coisas que parecem almôndegas na mesa e dizer algo como “o pai está a vir do trabalho e eu deixei o seu petisco preferido superpoderoso na mesa – certifica-te que os teus irmãos não o comem”. Neste caso, a maioria das crianças provavelmente esperaria que a mãe saísse e de imediato comesse tudo só para a contrariar! O mesmo tipo de truque é usado por hackers através de mensagens especialmente construídas para encorajar vítimas desprevenidas a descarregarem e executarem programas informáticos maliciosos”.

Mark James, especialista em segurança na ESET

“Engenharia Social é quando alguém no teu computador diz que é teu amigo e tenta levar-te a fazeres alguma coisa que pode ter um mau fim ou algo que a mãe e o pai não gostavam que fizesses. Tem sempre a certeza de que os teus pais sabem quando alguém está atentar seu teu amigo e nunca conheças ninguém sem a presença dos teus pais. As pessoas no teu computador ou tablet podem dizer que querem ser teus amigos. Não falar com estranhos é tão importante online como quando estás no parque, e não deves aceitar uma foto como prova da idade da pessoa com quem estás a falar”.

Troy Gill, gestor de investigação de segurança na AppRiver

“Engenharia social é a arte de conseguir que alguém faça alguma coisa que tu queiras que ela faça. Os hackers normalmente tentam explorar tecnologia para entrar numa organização, e a engenharia social, por outro lado, tem como alvo as pessoas. Uma pessoa pode utilizar a engenharia social para ligar para uma empresa, fazer-se passar por um dos funcionários e tentar que o empregado do outro lado do telefone revel a sua palavra-passe. Na maioria das vezes, são utilizadas histórias que confiram urgência à situação, para que a vítima seja obrigada a tomar uma decisão apressada e irrefletida. Outra coisa na qual a engenharia social se apoia frequentemente é o facto de a maioria das pessoas querer ser prestável. Por exemplo, alguém (que não tem laços com a organização) que se desloque em direção a uma porta de um edifício de alta segurança muito provavelmente não terá acesso. Contudo, se essa mesma pessoa levar uma caixa pesada nos braços, quase de certeza que um dos funcionários segurar-lhe-á a porta para que entre, pois tenta ser prestável”.

Mark Kraynak, diretor de produto, também da Imperva

“Engenharia social é o que acontece quando alguém que não conhece tenta fazer com que faça algo perigoso. É tão frequente no mundo físico como no mundo online. O melhor exemplo seria quando estamos no parque com os nossos pais ou babysitter e alguém que não conhecemos nos aborda e tenta levar-nos com ele(a) ou tenta saber informações sobre nós, como a nossa morada. Até podem ter uma história muito boa e convincente ou oferecer-nos doces ou dizer que temos de ver o seu novo cachorrinho. A menos que os teus pais ou babysitter saibam e digam que está tudo bem, nunca deves ir com essas pessoas. Engenharia social é a mesma coisa, mas em vez de estar no parque, o estranho aborda-te por email e tenta levar-te a aceder a algum site online ou convencer-te a dares informação acerca de ti próprio (como a tua palavra-passe) que não devias dar”.

Gavin Reid, vice-presidente de inteligência sobre ameaças da Lancope

“A engenharia social manipula a natureza das pessoas para fazê-las agir ou fazer alguma coisa do interesse da pessoa por detrás da manipulação. Mas não é sempre algo negativo – é uma grande parte da normal interação entre humanos. A engenharia social é quando um bebé chora para receber atenção, ou quando um cliente recebe um sorriso de satisfação por parte de um empregado. No mundo do cibercrime, vigaristas aproveitam-se dos normais sentimento humanos para coagir as pessoas a fazerem coisas que não deveriam. Por exemplo, usar a boa natureza das pessoas em esquemas fraudulentos para, supostamente, ajudarem um amigo em necessidades. Outro esquema popular é aliciar as pessoas com algo valioso na esperança de que a sua avareza lhes tolde o discernimento, permitindo que os criminosos possam dar o seu golpe. Isto faz parte da condição humana desde sempre – o que a Internet tem permitido é conectar o vigarista com as suas presas a uma escala massiva”.